此說明文件主題的目的在於說明您在使用第一代 Horizon Cloud 環境在 Microsoft Azure 訂閱中建立網繭之後,以及後續登入 Microsoft Azure 入口網站時將會看到的內容,並查看網繭部署工具在此建立的內容。隨著在 Microsoft Azure 中部署網繭,自動部署處理程序會建立一組網路安全性群組 (NSG),並將每個與每個 VMware 所控制網繭相關之虛擬機器 (VM) 上的特定網路介面 (NIC) 相關聯。此類網繭相關的虛擬機器為網繭的管理員虛擬機器,以及使用 Unified Access Gateway 設定網繭時部署的虛擬機器。
閱讀此頁面之前
在閱讀此頁面之前,請考量以下幾點。
自 2022 年 8 月起,Horizon Cloud Service - next-gen 開始正式提供,並提供了自己的《使用 Horizon 控制平面下一代》指南。
在您登入您的環境並查看 Horizon Universal Console 標籤後,瀏覽器 URL 欄位中顯示的模式可指出您擁有的是下一代環境還是第一代環境。對於下一代環境,主控台的 URL 位址會包含類似 /hcsadmin/ 的部分。第一代主控台的 URL 則具有不同的內容 (/horizonadmin/)。
整體簡介
根據 VMware 設計和網繭的架構,網繭部署工具會將適當部署工具建立的 NSG 與適當的 NIC 相關聯。這些 NSG 會用於 NIC 層級,以確保特定 VMware 所管理應用裝置上的每個 NIC,皆可接收 VMware 所管理應用裝置所應接收 NIC 連接子網路上標準服務和網繭作業的流量,以及封鎖該應用裝置不應接收的所有流量。每個 NSG 皆包含一組安全性規則,用來定義進出每個 NIC 的允許流量。
此處說明的 NSG 與您使用 Horizon Universal Console 建立時由網繭佈建的基礎虛擬機器、伺服器陣列和 VDI 桌面所使用的 NSG 不同。這些 NSG 具有不同的使用量資訊。如需這些 NSG 的相關資訊,請參閱下列主題:
- Horizon Cloud「從 Marketplace 匯入虛擬機器」精靈建立的網路安全性群組 (NSG)
- 關於 Horizon Cloud Pod 中的網路安全群組和伺服器陣列
- 關於 Horizon Cloud Pod 中的網路安全群組和 VDI 桌面
- 將這些 NSG 或 NSG 規則複製或移至 Horizon Cloud 所使用的任何子網路
- 在與網繭虛擬機器相關聯的 NIC 之間複製或移動這些 NSG 或 NSG 規則。
由 Horizon Cloud 建立的 NSG 及其中的規則,是與其連結之特定 NIC 和虛擬機器專用的 NSG,且僅供這些 NIC 和虛擬機器使用。對這些 NSG 或規則所做的任何變更,或任何將其用於任何其他用途的嘗試 (即使在這些 NIC 所連結的相同子網路上),皆很可能導致與其所連結 NIC 之間所需的往來網路流量中斷。流量的中斷可能繼而導致所有網繭作業中斷。這些 NSG 的生命週期由 Horizon Cloud 管理,且各自有其特定的原因。這些原因包括:
- 雲端控制平面與網繭進行通訊的功能。
- 網繭基礎結構的管理
- 網繭生命週期作業
但是,您可以建立自己的 NSG,使其包含您自己的組織規則,並將其納入 Horizon Cloud 為網繭的虛擬機器自動建立並管理之網繭資源群組以外的資源群組中。您自己的 NSG 所含的規則不得與 Horizon Cloud 所管理和操作網繭虛擬機器的需求相衝突。此類 NSG 應連結至網繭所使用的管理、租用戶和 DMZ 子網路。如果您在 Horizon Cloud 管理的資源群組內建立自己的 NSG,但您在這些資源群組中的 NSG 與位於不同資源群組中的資源相關聯,則在 Horizon Cloud 管理的資源群組上執行刪除動作時,作業將會失敗。
如 Microsoft Azure 說明文件中所述,網路安全性群組 (NSG) 的用途在於使用安全規則來篩選往返您的 Microsoft Azure 環境中資源的網路流量。每個規則皆有一組內容,例如來源、目的地、連接埠、通訊協定等,用來決定對 NSG 相關聯資源所允許的流量。由 Horizon Cloud 自動建立且與 VMware 所控制網繭虛擬機器之 NIC 產生關聯的 NSG 包含由 Horizon Cloud 決定的特定規則,如此才能用於網繭的服務管理、正確執行進行中的網繭作業,以及管理網繭的生命週期。一般而言,這些 NSG 中定義的每個規則,目的是要為網繭作業連接埠流量做準備,該流量屬於 Horizon Cloud 訂閱標準業務用途的服務履行的一部分 (例如,將虛擬桌面提供給使用者的 VDI 使用案例)。另請參閱 Horizon Cloud Pod 的連接埠和通訊協定需求。
以下幾節列出 Horizon Cloud 在這些 NSG 中定義的 NSG 規則。
關於這些 NSG 的一般事實
此清單適用於部署工具與網繭相關虛擬機器上特定 NIC 相關聯之部署工具建立的所有 NSG。
- 這些 VMware 建立的 NSG 適用於 VMware 所控制軟體應用裝置的安全性。當 VMware 將新軟體新增至您的訂閱並需要其他規則時,系統會將這些新規則新增至這些 NSG。
- 在 Microsoft Azure 入口網站中,NSG 的名稱會包含
vmw-hcs-podUUID模式,其中 podUUID 是網繭的識別碼,但部署至其本身 VNet 中之外部閘道組態所使用的 NSG 除外。在此情況下,閘道的相關 NSG 在名稱中會包含vmw-hcs-ID模式,其中 ID 是該外部閘道的部署識別碼。備註: 如果使用部署至在個別訂閱中預先建立之現有資源群組的選項,將外部閘道組態部署至該訂閱中,則閘道連接器的虛擬機器管理 NIC 上的 NSG,將會以根據資源群組名稱的模式 (而非vmw-hcs-podUUID模式) 命名。舉例來說,如果您將該資源群組命名為hcsgateways,則在該資源群組中, Horizon Cloud 會建立名為hcsgateways-mgmt-nsg的 NSG,並將該 NSG 與閘道連接器虛擬機器的管理 NIC 產生關聯。您可以從管理主控台的 [容量] 頁面導覽至網繭的詳細資料頁面,以找出這些識別碼。
備註: 當您選擇讓網繭的外部 Unified Access Gateway 使用自訂資源群組時,閘道連接器虛擬機器的部署工具建立的 NSG 名稱會包含該自訂資源群組的名稱,而非模式vmw-hcs-ID。例如,如果您使用名為ourhcspodgateway的自訂資源群組為網繭的外部閘道指定,則部署工具建立並與閘道虛擬機器之 NIC 相關聯的 NSG 將會命名為ourhcspodgateway-mgmt-nsg。 - NSG 位於與其相關聯虛擬機器和 NIC 相同的資源群組。例如,當外部閘道部署在網繭的 VNet 中並使用部署工具建立的資源群組時,與外部 Unified Access Gateway 虛擬機器上的 NIC 相關聯的 NSG,會位於名為
vmw-hcs-podUUID-uag的資源群組中。另請參閱第一代租用戶 - 為 Microsoft Azure 中部署之網繭建立的資源群組。 - Horizon Cloud 可能會視需要新增規則或修改這些規則,以確保服務的可維護性。
- 在網繭更新期間,將保留 NSG 和規則。系統不會將它們刪除。
- Horizon Cloud 規則都會從優先順序 1000 開始,且優先順序一般會以 100 的增量往上增加。Horizon Cloud 規則的結尾為優先順序 3000 的規則。
- 來源 IP 位址 168.63.129.16 的
AllowAzureInBound規則,可讓 NSG 接受來自 Microsoft Azure 平台的傳入通訊,如 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。所有與網繭相關的虛擬機器均為 Microsoft Azure 中的虛擬機器。如該 Microsoft Azure 說明文件主題中所述,其 IP 位址 168.63.129.16 有助於讓 Microsoft Azure 雲端平台對其雲端中的所有虛擬機器執行各種虛擬機器管理工作。例如,此 IP 位址有助於讓虛擬機器內的虛擬機器代理程式與 Microsoft Azure 平台進行通訊,以發出虛擬機器處於就緒狀態的訊號。 - 在用於 Unified Access Gateway 執行個體的 NSG 中,
AllowPcoipUdpInBound規則是為任何連接埠設定,因為 PCoIP 流量使用的變動連接埠號碼位於 4173+ 範圍中,使得您無法將流量限制在一組特定的連接埠。 - Microsoft Azure 會在建立 NSG 時,自動在每個 NSG 中建立一些預設的規則。在建立的每個 NSG 中,Microsoft Azure 會以優先順序 65000 及更高來建立一些輸入和輸出規則。本說明文件主題中未描述這類 Microsoft Azure 預設規則,因為它們會由 Microsoft Azure 自動建立。如需這些預設規則的詳細資料,請參閱 Microsoft Azure 說明文件主題預設安全性規則。
- 這些 NSG 中定義的每個規則,目的是要為網繭作業連接埠流量做準備,而該流量屬於 Horizon Cloud 訂閱標準業務用途的服務履行的一部分 (例如,將虛擬桌面提供給使用者的 VDI 使用案例)。另請參閱 Horizon Cloud Pod 的連接埠和通訊協定需求。
- 當您編輯網繭以指定要與伺服器陣列和 VDI 桌面指派搭配使用的其他租用戶子網路時,系統會更新網繭管理員虛擬機器上租用戶子網路相關 NSG 中的規則,而 Unified Access Gateway 虛擬機器的 NIC 會更新以包含這些額外的租用戶子網路。
- 向 VMware 提出支援要求時,如果支援團隊決定處理該要求的作法是,部署一個暫時性 Jumpbox 虛擬機器,則此暫時性 Jumpbox 在其暫時性 Jumpbox 資源群組中會有一個 NSG。在支援團隊完成後,當刪除 Jumpbox 的資源群組時,會刪除此 NSG。
網繭管理員虛擬機器之部署工具建立的 NSG
網繭管理員虛擬機器有兩個 NIC,一個連線至管理子網路,而另一個連線至租用戶子網路。部署工具會為這兩個 NIC 各自建立特定的 NSG,並將每個 NSG 與其適當的 NIC 相關聯。
- 管理 NIC 具有的 NSG 命名模式為
vmw-hcs-podUUID-mgmt-nsg。 - 租用戶 NIC 具有的 NSG 命名模式為
vmw-hcs-podUUID-tenant-nsg。
在 Microsoft Azure 環境中,這些 NSG 位於網繭的資源群組,且命名模式為 vmw-hcs-podUUID。
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 規則的用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowSshInBound | 22 | 任何 | 管理子網路 | 任何 | 允許 | 如果在穩定狀態作業期間,您對 VMware 提出支援而支援團隊判斷對該要求進行疑難排解的方式,是部署 Jumpbox 虛擬機器以與您的網繭管理員虛擬機器進行 SSH 通訊,則此 NSG 規則可支援該使用案例。在進行任何緊急存取之前,將向您要求權限。短期 Jumpbox 虛擬機器會使用 SSH,透過虛擬機器的連接埠 22,來與網繭管理員虛擬機器通訊。日常網繭作業無需在網繭管理員虛擬機器上使用連接埠 22。 |
| 輸入 | 1100 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1200 | AllowHttpsInBound | 443 | 任何 | 管理子網路 | 任何 | 允許 | 讓雲端控制平面可安全地與網繭管理員的 REST API 端點進行通訊。 |
| 輸入 | 1300 | AllowApacheGeodeInBound | 10334-10336、41000-41002、41100-41102、42000-42002 | 任何 | 管理子網路 | 任何 | 允許 | 這些連接埠用於在網繭管理員虛擬機器之間複寫使用者工作階段和檔案共用的相關資訊。 |
| 輸入 | 1400 | AllowTelegrafInBound | 9172 | 任何 | 管理子網路 | 任何 | 允許 | 已被取代。此 NSG 曾由 Horizon 基礎結構監控功能使用,該功能已棄用,如 VMware 知識庫文章 93762 中所述。 |
| 輸入 | 1500 | AllowAgentJmsInBound | 4001、4002 | 任何 | 管理子網路 | 任何 | 允許 | 已被取代。此 NSG 曾由 Horizon 基礎結構監控功能使用,該功能已棄用,如 VMware 知識庫文章 93762 中所述。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任何 | 允許 | 此規則提供了一個非典型案例,例如您可能已告知您的內部使用者 (在您的公司網路上,例如透過 VPN),將其用戶端連線至您已對應至網繭的 Microsoft Azure 負載平衡器的 FQDN。此案例有時稱為直接網繭連線。針對連至網繭管理員的登入驗證要求,Horizon Client 和 Horizon Web 用戶端會使用連接埠 443。為了支援輕鬆重新導向,以方便在其用戶端中輸入 HTTP 而非 HTTPS 的使用者,該流量會到達連接埠 80,並自動重新導向至連接埠 443。 |
| 輸入 | 1100 | AllowAgentHttpsInBound | 3443 8443 |
TCP | 租用戶子網路 | 任何 | 允許 | App Volumes Agent 在基礎虛擬機器、桌面虛擬機器、伺服器陣列 RDSH 虛擬機器中使用連接埠 3443 對此 NIC 進行輸入,以存取在網繭管理員中執行的 App Volumes Manager 服務。 Unified Access Gateway 執行個體會使用對此 NIC 的連接埠 8443 輸入,以向網繭管理員進行檢查。閘道執行個體會使用此端點來確認將新的用戶端連線要求傳送至網繭管理員。 |
| 輸入 | 1110 | AllowGatewayBrokeringHttpsInBound | 8443 | TCP | VirtualNetwork | 任何 | 允許 | 為了保持代碼一致性和便於維護,網繭部署工具一律會將此規則寫入至此 NSG 中。 在網繭的外部閘道部署在本身與網繭不同的 VNet 中的部署中,此規則支援來自外部閘道之 Unified Access Gateway 執行個體的輸入流量,以向網繭管理員進行檢查。閘道執行個體會使用此端點來確認將新的用戶端連線要求傳送至網繭管理員。 |
| 輸入 | 1120 | AllowUagHttpsInBound | 8443 | TCP | 管理子網路 | 任何 | 允許 | 此規則計劃在未來的服務版本中使用。 |
| 輸入 | 1200 | AllowAgentJmsInBound | 4001 4002 |
TCP | 租用戶子網路 | 任何 | 允許 | 基礎虛擬機器、桌面虛擬機器和伺服器陣列 RDSH 虛擬機器中的 Horizon Agent 會使用這些連接埠。 連接埠 4001 用於 Java Message Service (JMS、非 SSL),由虛擬機器中的代理程式用來與網繭進行通訊,以作為憑證指紋驗證的一部分,並進行交換以保護與網繭的 SSL 連線。
在虛擬機器與網繭管理員之間交涉並交換金鑰後,代理程式會使用連接埠 4002 來建立安全的 SSL 連線。
備註: 4001 和 4002 皆為穩定狀態作業所需。有時,代理程式可能需要使用網繭重設金鑰。
|
| 輸入 | 1210 | AllowRouterJmsInBound | 4101 | TCP | 租用戶子網路 | 任何 | 允許 | 已啟用網繭的高可用性 (HA) 時,此流量會在網繭管理員虛擬機器 (node-1 和 node-2) 之間進行 JMS 路由。 |
| 輸入 | 1300 | AllowAgentUdpInBound | 5678 | UDP | 租用戶子網路 | 任何 | 允許 | 針對資訊清單 1600 及更新版本的網繭淘汰。在服務的 2019 年 9 月版本中,DaaS Agent 已於網繭資訊清單 1600 時併入至 Horizon Agent。在此之前,此連接埠 5678 和 UDP 通訊協定用於支援使用 DaaS Agent。 |
| 輸入 | 1400 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
外部 Unified Access Gateway 虛擬機器之部署工具建立的 NSG
外部 Unified Access Gateway 組態的每個虛擬機器皆有三 (3) 個 NIC,一個連線至管理子網路,一個連線至租用戶子網路,而另一個連線至 DMZ 子網路。部署工具會為這三個 NIC 各自建立特定的 NSG,並將每個 NSG 與其適當的 NIC 相關聯。
- 管理 NIC 具有以
vmw-hcs-ID-uag-management-nsg模式命名的 NSG。 - 租用戶 NIC 具有以
vmw-hcs-ID-uag-tenant-nsg模式命名的 NSG。 - DMZ NIC 具有以
vmw-hcs-ID-uag-dmz-nsg模式命名的 NSG。
在您的 Microsoft Azure 環境中,這些 NSG 會以 vmw-hcs-ID-uag 的模式命名,其中,ID 為主控台的網繭詳細資料頁面上顯示的網繭識別碼,除非外部閘道部署在其本身的 VNet (與網繭的 VNet 不同)。如果外部閘道部署在其本身的 VNet 中,則 ID 會是網繭詳細資料頁面上顯示的部署識別碼值。
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理子網路 | 任何 | 允許 | 讓服務能夠使用其管理介面來設定閘道的管理設定。如 Unified Access Gateway 產品說明文件中所述,其管理介面位於連接埠 9443/TCP。 |
| 輸入 | 1100 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1200 | AllowSshInBound | 22 | 任何 | 管理子網路 | 任何 | 允許 | 讓 VMware 在需要進行疑難排解時對虛擬機器執行緊急存取。在進行任何緊急存取之前,將向您要求權限。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 輸出 | 3000 | DenyAllOutBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,以拒絕來自此 NIC 的輸出流量。 |
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1400 | AllowPcoipUdpInBound | 任何 | UDP | 租用戶子網路 | 任何 | 允許 | 此規則支援用於 Unified Access Gateway 與 Horizon Agent 搭配使用的標準組態。桌面和伺服器陣列虛擬機器中的 Horizon Agent 會使用 UDP 將 PCoIP 資料傳送回 Unified Access Gateway 執行個體。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 輸出 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援與網繭管理員虛擬機器進行通訊的 Unified Access Gateway 執行個體,以將新用戶端進線要求傳送至網繭管理員。 |
| 輸出 | 1100 | AllowBlastOutBound | 22443 | 任何 | 任何 | 租用戶子網路 | 允許 | 此規則支援在桌面或伺服器陣列虛擬機器中 Horizon Client Blast Extreme 工作階段至 Horizon Agent 的使用案例。 |
| 輸出 | 1200 | AllowPcoipOutBound | 4172 | 任何 | 任何 | 租用戶子網路 | 允許 | 此規則支援在桌面虛擬機器中 Horizon Client PCoIP 工作階段至 Horizon Agent 的使用案例。 |
| 輸出 | 1300 | AllowUsbOutBound | 32111 | TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援 USB 重新導向流量的使用案例。USB 重新導向是桌面或伺服器陣列虛擬機器中的代理程式選項。該流量使用連接埠 32111,供使用者用戶端工作階段連至桌面或伺服器陣列虛擬機器中的 Horizon Agent。 |
| 輸出 | 1400 | AllowMmrOutBound | 9427 | TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援多媒體重新導向 (MMR) 和用戶端磁碟機重新導向 (CDR) 流量的使用案例。這些重新導向是桌面或伺服器陣列虛擬機器中的代理程式選項。該流量使用連接埠 9427,供使用者用戶端工作階段連至桌面或伺服器陣列虛擬機器中的 Horizon Agent。 |
| 輸出 | 1500 | AllowAllOutBound | 任何 | 任何 | 任何 | 租用戶子網路 | 允許 | 在支援多個使用者工作階段的虛擬機器中執行時,Horizon Agent 會選擇不同的連接埠來用於工作階段的 PCoIP 流量。由於這些連接埠無法提前判斷,因此 NSG 規則會指定特定連接埠,以因應無法提前定義該流量的情況。因此,與優先順序為 1200 的規則類似,此規則支援使用此類虛擬機器的多個 Horizon Client PCoIP 工作階段使用案例。 |
| 輸出 | 3000 | DenyAllOutBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸出流量限制在前述資料列中的項目。 |
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowHttpsInBound | 80 443 |
TCP | 網際網路 | 任何 | 允許 | 此規則可讓來自 Horizon Client 和 Horizon Web 用戶端之外部使用者的輸入流量,向網繭管理員要求進行登入驗證。依預設,Horizon Client 和 Horizon Web 用戶端會針對此要求使用連接埠 443。為了支援輕鬆重新導向,以方便在其用戶端中輸入 HTTP 而非 HTTPS 的使用者,該流量會到達連接埠 80,並自動重新導向至連接埠 443。 |
| 輸入 | 1100 | AllowBlastInBound | 443 8443 |
任何 | 網際網路 | 任何 | 允許 | 此規則支援從外部使用者的 Horizon Client 接收 Blast 流量的 Unified Access Gateway 執行個體。 |
| 輸入 | 1200 | AllowPcoipInBound | 4172 | 任何 | 網際網路 | 任何 | 允許 | 此規則支援從外部使用者的 Horizon Client 接收 PCoIP 流量的 Unified Access Gateway 執行個體。 |
| 輸入 | 1300 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
內部 Unified Access Gateway 虛擬機器之部署工具建立的 NSG
內部 Unified Access Gateway 組態的每個虛擬機器皆有二 (2) 個 NIC,一個連線至管理子網路,而另一個連線至租用戶子網路。部署工具會為這兩個 NIC 各自建立特定的 NSG,並將每個 NSG 與其適當的 NIC 相關聯。
- 管理 NIC 具有的 NSG 命名模式為
vmw-hcs-podUUID-uag-management-nsg。 - 租用戶 NIC 具有的 NSG 命名模式為
vmw-hcs-podUUID-uag-tenant-nsg。
在 Microsoft Azure 環境中,這些 NSG 位於網繭的資源群組,且命名模式為 vmw-hcs-podUUID-uag-internal。
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理子網路 | 任何 | 允許 | 讓服務能夠使用其管理介面來設定閘道的管理設定。如 Unified Access Gateway 產品說明文件中所述,其管理介面位於連接埠 9443/TCP。 |
| 輸入 | 1100 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1200 | AllowSshInBound | 22 | 任何 | 管理子網路 | 任何 | 任何 | 讓 VMware 在需要進行疑難排解時對虛擬機器執行緊急存取。在進行任何緊急存取之前,將向您要求權限。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 輸出 | 3000 | DenyAllOutBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,以拒絕來自此 NIC 的輸出流量。 |
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任何 | 允許 | 此規則可讓來自 Horizon Client 和 Horizon Web 用戶端之內部使用者的輸入流量,向網繭管理員要求進行登入驗證。依預設,Horizon Client 和 Horizon Web 用戶端會針對此要求使用連接埠 443。為了支援輕鬆重新導向,以方便在其用戶端中輸入 HTTP 而非 HTTPS 的使用者,該流量會到達連接埠 80,並自動重新導向至連接埠 443。 |
| 輸入 | 1200 | AllowBlastInBound | 443 8443 |
任何 | VirtualNetwork | 任何 | 允許 | 此規則支援從內部使用者的 Horizon Client 接收 Blast 流量的 Unified Access Gateway 執行個體。 |
| 輸入 | 1300 | AllowPcoipInBound | 4172 | 任何 | VirtualNetwork | 任何 | 允許 | 此規則支援從內部使用者的 Horizon Client 接收 PCoIP 流量的 Unified Access Gateway 執行個體。 |
| 輸入 | 1400 | AllowPcoipUdpInBound | 任何 | UDP | 租用戶子網路 | 任何 | 允許 | 此規則支援用於 Unified Access Gateway 與 Horizon Agent 搭配使用的標準組態。桌面和伺服器陣列虛擬機器中的 Horizon Agent 會使用 UDP 將 PCoIP 資料傳送回 Unified Access Gateway 執行個體。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 輸出 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援與網繭管理員虛擬機器進行通訊的 Unified Access Gateway 執行個體,以將新用戶端進線要求傳送至網繭。 |
| 輸出 | 1100 | AllowBlastOutBound | 22443 | 任何 | 任何 | 租用戶子網路 | 允許 | 此規則支援在桌面或伺服器陣列虛擬機器中 Horizon Client Blast Extreme 工作階段至 Horizon Agent 的使用案例。 |
| 輸出 | 1200 | AllowPcoipOutBound | 4172 | 任何 | 任何 | 租用戶子網路 | 允許 | 此規則支援在桌面虛擬機器中 Horizon Client PCoIP 工作階段至 Horizon Agent 的使用案例。 |
| 輸出 | 1300 | AllowUsbOutBound | 32111 | TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援 USB 重新導向流量的使用案例。USB 重新導向是桌面或伺服器陣列虛擬機器中的代理程式選項。該流量使用連接埠 32111,供使用者用戶端工作階段連至桌面或伺服器陣列虛擬機器中的 Horizon Agent。 |
| 輸出 | 1400 | AllowMmrOutBound | 9427 | TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援多媒體重新導向 (MMR) 和用戶端磁碟機重新導向 (CDR) 流量的使用案例。這些重新導向是桌面或伺服器陣列虛擬機器中的代理程式選項。該流量使用連接埠 9427,供使用者用戶端工作階段連至桌面或伺服器陣列虛擬機器中的 Horizon Agent。 |
| 輸出 | 1500 | AllowAllOutBound | 任何 | 任何 | 任何 | 租用戶子網路 | 允許 | 在支援多個使用者工作階段的虛擬機器中執行時,Horizon Agent 會選擇不同的連接埠來用於工作階段的 PCoIP 流量。由於這些連接埠無法提前判斷,因此 NSG 規則會指定特定連接埠,以因應無法提前定義該流量的情況。因此,與優先順序為 1200 的規則類似,此規則支援使用此類虛擬機器的多個 Horizon Client PCoIP 工作階段使用案例。 |
| 輸出 | 3000 | DenyAllOutBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸出流量限制在前述資料列中的項目。 |
當外部閘道部署在其本身的 VNet 中時,閘道連接器虛擬機器上由部署工具建立的 NSG
閘道連接器虛擬機器具有單一 NIC。此 NIC 會連結至外部閘道 VNet 的管理子網路。部署工具會建立單一 NSG,並特別將該 NSG 與該 NIC 相關聯。依預設,部署工具針對閘道連接器之管理 NIC 所建立的 NSG,與部署工具針對網繭管理員虛擬機器所建立的 NSG 具有相同的規則。
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowSshInBound | 22 | 任何 | 管理子網路 | 任何 | 允許 | 如果在穩定狀態作業期間,您對 VMware 提出支援而支援團隊判斷對該要求進行疑難排解的方式,是部署 Jumpbox 虛擬機器以與此閘道連接器虛擬機器進行 SSH 通訊,則此 NSG 規則可支援該使用案例。在進行任何緊急存取之前,將向您要求權限。短期 Jumpbox 虛擬機器會使用 SSH,透過虛擬機器的連接埠 22,來與這個閘道連接器虛擬機器通訊。日常網繭作業無需在閘道連接器虛擬機器上使用連接埠 22。 |
| 輸入 | 1100 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1200 | AllowHttpsInBound | 443 | 任何 | 管理子網路 | 任何 | 允許 | 讓雲端控制平面可安全地與閘道連接器的 REST API 端點進行通訊。 |
| 輸入 | 1300 | AllowApacheGeodeInBound | 10334-10336、41000-41002、41100-41102、42000-42002 | 任何 | 管理子網路 | 任何 | 允許 | 這些連接埠用於在網繭管理員虛擬機器與閘道連接器虛擬機器之間複寫使用者工作階段和檔案共用的相關資訊。 |
| 輸入 | 1400 | AllowTelegrafInBound | 9172 | 任何 | 管理子網路 | 任何 | 允許 | 已被取代。此 NSG 曾由 Horizon 基礎結構監控功能使用,該功能已棄用,如 VMware 知識庫文章 93762 中所述。 |
| 輸入 | 1500 | AllowAgentJmsInBound | 4001、4002 | 任何 | 管理子網路 | 任何 | 允許 | 已被取代。此 NSG 曾由 Horizon 基礎結構監控功能使用,該功能已棄用,如 VMware 知識庫文章 93762 中所述。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
暫時性 Jumpbox 虛擬機器之部署工具建立的 NSG
向 VMware 提出支援要求時,如果支援團隊決定處理該要求的作法是,部署一個暫時性 Jumpbox 虛擬機器,則此暫時性 Jumpbox 在其暫時性 Jumpbox 資源群組中會有一個 NSG。在支援團隊在完成這類工作後,當刪除 Jumpbox 的資源群組時,會刪除此 NSG。在進行任何緊急存取之前,將向您要求權限。
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 100 | AllowSSHInBound | 22 | 任何 | 管理子網路 | 管理子網路 | 允許 | 為了與 VMware 所管理且 VMware 支援團隊調查您的服務要求時會用到的應用裝置,進行 SSH 通訊。短期 Jumpbox 虛擬機器會使用 SSH 與連接埠 22 通訊。
備註: 如果雲端控制平面已失去網繭的存取權,支援團隊可能會部署具有公用 IP 的緊急 Jumpbox,以建立網繭的存取權。在該案例中,此規則必須具有 Source=Any 和 Destination=Any。
|
| 輸出 | 100 | AllowSSHOutbound | 22 | TCP | 管理子網路 | 管理子網路 | 允許 | 為了讓 Jumpbox 虛擬機器執行其設計的功能。 |
| 輸出 | 101 | AllowHttpsOutbound | 443 | TCP | 管理子網路 | 任何 | 允許 | 為了讓 Jumpbox 虛擬機器下載特定的外部軟體元件 (例如 Microsoft Azure CLI (命令行介面)),以執行其設計的功能。 |
| 輸出 | 102 | AllowHttpOutbound | 80 | TCP | 管理子網路 | 任何 | 允許 | 為了讓 Jumpbox 虛擬機器下載特定的外部軟體元件 (例如 Ubuntu 軟體更新),以執行其設計的功能。 |
| 輸出 | 103 | AllowUagOutbound | 9443 | TCP | 管理子網路 | 管理子網路 | 允許 | 為了讓 Jumpbox 虛擬機器利用閘道的管理介面,來執行其設計的閘道管理設定相關功能。 |
| 輸出 | 104 | AllowDnsOutbound | 53 | 任何 | 管理子網路 | 任何 | 允許 | 讓 Jumpbox 虛擬機器連線至 DNS 服務。 |
| 輸出 | 105 | AllowHttpProxyOutbound | 任何 | TCP | 任何 | 任何 | 允許 | 當網繭部署設定為使用 Proxy 連接埠並非 80 的 Proxy 時,暫時 Jumpbox 部署工具會在此 NSG 中建立此規則。此規則支援此類 Proxy 環境中的暫時 Jumpbox。 當網繭部署的組態未指定 Proxy 或指定了 Proxy 連接埠為 80 的 Proxy 時,此規則不會出現在此 NSG 中。 |
| 輸出 | 1000 | DenyAllOutBound | 任何 | TCP | 任何 | 任何 | 拒絕 | 使用 TCP 將此 NIC 的輸出流量限制在前述資料列中的項目。 |
